VoLTE网络，安全至上

发表时间：2017年4月21日 17:44 来源：C114中国通信网责任编辑：麒麟

概述

网络安全是通信服务质量的关键因素之一，为了提高运营水平，必须给用户提供高品质、不间断的服务。但由于人为操作失误、设备故障、网络风暴、自然灾害等原因，通信网络节点的故障或拥塞往往不可避免。

由于用户对通信网络的服务质量要求越来越高，运营商通常要求节点发生故障后，网络仍能够继续提供服务。由于交换设备在网络中所处的位置，其故障带来的损害往往影响较大，且恢复的时间也较长。

VoLTE网络正在取代传统2G/3G网络，为用户提供价廉物美的语音、视频、流媒体等融合业务。相对于传统网络而言，VoLTE网络在安全性方面的考虑更加周密，采用了多种方案，信令风暴防护就是其中之一。

网络安全的“痛点”

VoLTE基于全IP架构，而全IP网络的开放性、SIP的易扩展性，以及接入网络的扁平化等特点，使得相对于固定宽带网络而言，VoLTE网络面临的安全威胁发生了三大变化，即攻击源增多、攻击方式增多、攻击频率增大。

首先，如果安装篡改过的或被植入恶意插件的应用，用户终端就会“中毒”，使得网络的攻击源呈指数级增多。

其次，除了网络IP安全洞，发起常见的TCP/IP报文攻击、流量型攻击、畸形报文攻击、业务逻辑攻击等传统手段，攻击手段还会随着网络架构变化和业务演进，而呈现多样化趋势。

第三，有统计数据显示，目前的攻击峰值流量已经达到100GB量级，并且每年还在以50%的速度增长。

面对层出不穷且越演越烈的不安全因素，最好的办法莫过于“以不变应万变”，苦练内功，严防死守，尽力确保VoLTE网络成为“一方净土”。而SBC这一部署在网络边界的设备，就将在其中发挥重要作用。

中兴通讯的网络安全方案

SBC的主要作用是在接入网和IMS核心网之间或两个核心网络之间，提供公私网络地址转换、服务质量标记和重标记、网络拓扑隐藏、应用层防火墙、媒体流量监管等方面的功能。

由于SBC直接面向外部，很容易遭受来自网络和其他方面的威胁，这些威胁利用设备的脆弱性或者配置洞，导致设备性能和正常运行都受到很大影响，甚至无法响应正常用户的服务请求。

为了抵御来自网络和用户的攻击，中兴通讯SBC设备具有安全审计、密码支持、用户数据保护、标识和鉴别、安全管理、安全功能保护、资源利用、系统访问、可信路径/信道等几个方面的安全功能类防护。

针对VoLTE网络中可能存在的信令风暴，中兴通讯SBC通常采取基于黑白灰名单和过载控制等策略，实现六大方面的多维度防护，如图1所示。

图1 VoLTE网络的信令风暴防护方案

黑白灰名单可以对不同类别的用户采用不同的速率和行为控制，是系统安全的第一个执行层，按其执行的安全策略不同可分为静态、灰名单和白名单三种。过载控制是在系统过负荷的情况下的防护行为，通过限制一定比率用户的服务来保护设备安全，分为CPU注册过载控制和CPU 呼叫过载控制两大类。

中兴通讯安全方案的亮点

基于SBC的心灵风暴防护方案的亮点可概括如下：

1、手段多样，配置灵活。中兴通讯SBC能够基于用户行为和特征匹配进行深层检测，并结合业务需要进行安全分析和处理，形成不同的安全策略，和IP层、信令面、媒体面进行联动防御。

为避免用户信息及隐私泄露，中兴通讯SBC具备检测与防御能力，提供强大的加解密能力，保护合法用户安全使用VoLTE网络。此外，中兴通讯SBC还具备智能流控能力，以应对日益频繁的注册风暴冲击。

2、具有强大的防护功能。中兴通讯SBC内置安全防护功能，可抵抗基于UDP/TCP/ICMP方式的常见DoS & DDoS攻击，防御syn flood、ping of death、land、Tear Drop、ping flood、Smurf、Ping sweep等多种常见攻击，可以防护56倍信令洪范攻击（非precondition时，可以防护72倍信令洪范攻击）。

在国内运营商的安全测试中，所有测试用例中兴通讯一次性100%通过。在协议健壮性测试中，经过长达12小时考验，中兴通讯SBC没有发现任何洞。

3、较早拥有规模商用经验。中兴通讯SBC实现信令、消息、媒体全加密，支持SIP over TLS、SIP overIPSEC、SRTP、MSRP over TLS、SRTP to RTP、MSRP over TLS to MSRP、MSRPP2P、MSRP C2S、SEG、TLS tunnel、IPSEC tunnel等多种方式。

中兴通讯SBC可适应多种组网、安全需求，为运营商的安全运营提供全方位保证，在全球最大的中国移动RCS/IMS网络中成功商用。

4、有效降低TCO，保护已有投资。据国外权威机构发布的统计数字，从VoLTE网络整体投资来看，SBC占据约三分之一，尤其是后期扩容时，SBC将占据更高比例。所以能否充分发挥SBC的作用，对运营商来说是至关重要的。

中兴通讯SBC完全实现了上述信令风暴防护方案，运营商不必另行购置设备，这样既充分利用了已有投资，又节省了额外的投入。

结语

VoLTE的部署和应用已经步入快车道，2016年新增的VoLTE商用网络超过过去历年的总和，上述信令风暴防护方案也正在逐步实施，虽然时间还比较短，但是效果已经初步显现出来，当然今后还要根据市场反应持续进行优化和改进。